Поделиться через


Использование ключей, управляемых клиентом, для шифрования

В этой статье представлен обзор ключей, управляемых клиентом, для шифрования.

Примечание.

Для этой функции требуется план "Премиум".

Общие сведения о ключах, управляемых клиентом, для шифрования

Некоторые службы и данные поддерживают добавление управляемого клиентом ключа для защиты и контроля доступа к зашифрованным данным. Службу управления ключами в облаке можно использовать для обслуживания ключа шифрования, управляемого клиентом.

Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и Azure Key Vault Managed HSM (аппаратные модули безопасности).

Azure Databricks предлагает три функции ключей, управляемых клиентом, для разных типов данных:

В следующей таблице перечислено, какие функции ключей, управляемых клиентом, используются для каких типов данных.

Тип данных Расположение Функция ключа, управляемого клиентом
Панели мониторинга ИИ/BI Плоскость управления Управляемые службы
Источник и метаданные записной книжки Плоскость управления Управляемые службы
Персональные токены доступа (PAT) или другие учетные данные, используемые для интеграции Git с папками Databricks Git Плоскость управления Управляемые службы
Секреты, хранимые API диспетчера секретов Плоскость управления Управляемые службы
Запросы SQL и журнал запросов Databricks Плоскость управления Управляемые службы
Индексы и метаданные векторного поиска Бессерверная плоскость вычислений Управляемые службы
Данные корня DBFS, доступные для клиентов Корневой каталог DBFS вашей рабочей области в учетной записи хранилища в вашей подписке на Azure. Это также включает область FileStore. корень DBFS.
Результаты работы Учетная запись хранения рабочей области в подписке Azure корень DBFS.
Результаты Databricks SQL Учетная запись хранения рабочей области в подписке Azure корень DBFS.
Модели MLflow Учетная запись для хранения рабочей области в подписке Azure корневой каталог DBFS.
DLT Если вы используете путь DBFS в корневом каталоге DBFS, это сохраняется в учетной записи хранения вашей рабочей области в вашей подписке Azure. Это не относится к путям DBFS, которые представляют точки подключения к другим источникам данных. корень DBFS.
Результаты интерактивной записной книжки По умолчанию при интерактивном запуске записной книжки (а не в качестве задания) результаты хранятся на управляющей плоскости для повышения производительности, а некоторые крупные результаты хранятся в учетной записи хранения рабочей области в подписке Azure. Вы можете настроить Azure Databricks для хранения результатов всех интерактивных записных книжек в учетной записи хранения рабочей области. См. Конфигурация расположения хранилища для результатов интерактивной записной книжки. Для частичных результатов на уровне управления используйте ключ, управляемый клиентом, для управляемых служб. Для получения результатов в учетной записи хранения рабочей области, которую можно настроить для всего хранилища результатов, используйте управляемый клиентом ключ для корневого каталога DBFS.
Другие данные системы рабочей области в учетной записи хранения рабочей области, недоступные через DBFS, например, редакции записной книжки. Учетная запись хранения рабочей области в подписке Azure DBFS root.
Управляемые диски Временное хранилище дисков виртуальных машин в вычислительных ресурсах, таких как кластеры. Применяется только к вычислительным ресурсам в классической плоскости вычислений в подписке Azure. См. статью Бессерверные вычисления и ключи, управляемые клиентом. Управляемые диски

Для повышения безопасности экземпляра учетной записи хранения вашей рабочей области в подписке Azure можно включить двойное шифрование и поддержку брандмауэра. См. раздел «Настройка двойного шифрования для корневого каталога DBFS» и «Включение поддержки брандмауэра для учетной записи хранения рабочей области».

Внимание

Только панели мониторинга AI/BI, созданные после 1 ноября 2024 г., шифруются и совместимы с ключами, управляемыми клиентом.

Бессерверные вычислительные и управляемые клиентом ключи

Databricks SQL Serverless поддерживает:

Обслуживание моделей

Ресурсы для обслуживания моделей, бессерверная функция вычислений, обычно находятся в двух категориях:

  • Ресурсы, созданные для модели, хранятся в корневом каталоге DBFS в хранилище ADLSgen2 вашей рабочей области (для старых рабочих областей — в хранилище BLOB-объектов). В это входят артефакты модели и метаданные её версии. Реестр моделей рабочей области и MLflow используют это хранилище. Это хранилище можно настроить для использования ключей, управляемых клиентом.
  • Ресурсы, создаваемые Azure Databricks непосредственно от вашего имени, включают образ модели и эфемерное бессерверное хранилище вычислений. Они шифруются с помощью ключей, управляемых Databricks, и не поддерживают управляемые клиентом ключи.

Ключи, управляемые клиентом для управляемого дискового хранилища, не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.